گسترش بدافزار سرقت اطلاعات/انتشار کدهای مخرب در اینترنت
نوعی بدافزار سرقت اطلاعات به نام Amadey با استفاده از Backdoor دیگری به نام SmokeLoader در حال گسترش است.
بنابر اعلام مرکز مدیریت راهبردی افتا، چنانچه کاربران فریب بخورند و بدافزار SmokeLoader را بهعنوان یک کرک نرمافزاری نصب کنند، به راحتی، راه را برای استقرار بدافزار Amadey در سیستمهای خود، هموار کردهاند.
بدافزار Amadey به قابلیتهایی مثل گرفتن عکس از صفحه نمایش، ابردادههای سیستم، اطلاعات درباره آنتیویروسهای سیستم، نصب بدافزارهای اضافی روی دستگاه آلوده و استخراج Credential های سیستم، مجهز شده و بدون فوت وقت، اطلاعات را به سرقت میبرد.
از آنجا که متداولترین شیوه حمله برای آلوده کردن دستگاههای کاربران، کمپینهای هرزنامه مخرب است، تروجان SmokeLoader بیشتر با فایلهای مایکروسافت آفیس، به دستگاههای قربانیان نفوذ میکند و این بدافزار سعی میکند ماهیت مخرب خود را پنهان کند.
مهاجمان از مهندسی اجتماعی برای فریب قربانیان احتمالی و راضی شدن به دانلود فایل پیوست و فعال کردن ماکروها استفاده میکنند و هنگامی که کاربر، فایل مخرب را دانلود و اجرا کند، بدافزار نیز اجرا میشود.
با اینحال، هدف اصلی بدافزار Amadey استقرار افزونههای اضافی و تروجانهای دسترسی از راه دور، مانند Remcos RAT و RedLine Stealer است که عامل تهدید را قادر میکند مجموعهای از فعالیتهای پس از بهرهبرداری را انجام دهد.
کارشناسان امنیتی مرکز مدیریت راهبردی افتا میگویند: برای جلوگیری از آلوده شدن احتمالی به بدافزار Amadey لازم است تا کاربران دستگاههای خود را به آخرین نسخههای سیستمعامل و مرورگر وب ارتقاء دهند تا احتمال آلوده شدن را به حداقل برسانند.
مرکز مدیریت راهبردی افتا از راهبران امنیتی سازمانها و دستگاههای دارای زیرساخت حیاتی خواسته است تا نرمافزارهای کرک شده را در سیستمهای سازمانی، به هیچ وجه نصب نکنند.
لازم به ذکر است راهبران امنیتی، مدیران و متخصصان IT سازمانهای دارای زیرساخت حیاتی می توانند، اطلاعات فنی و تخصصی در باره چگونگی نفوذ و فعالیت بدافزار Amadey را از پایگاه اینترنتی مرکز مدیرت راهبردی افتا دریافت کنند.
انتشار کدهای مخرب احراز هویت در فضای اینترنت
همچنین از سوی دیگر، کدهای مخرب آسیبپذیری جدید VMWare بهصورت عمومی در فضای اینترنت منتشر شده و قابل دسترسی است که میتوان از آنها برای دور زدن امنیت و احراز هویت، در چندین نسخه از این نرمافزار استفاده کرد.
این نقض امنیتی در نرم افزار VMWare ، قابلیت دسترسی را به بالاترین سطح دسترسی (ادمین) در سیستمعامل هدف، به مهاجمان میدهد.
باب پلانکرز- طراح امنیت و زیرساخت ابری در شرکت VMWare، هشدار داده است:بسیار مهم است که بهسرعت اقداماتی برای برطرف شدن یا کاهش این مشکلات انجام شود. اگر سازمان شما از متدولوژیهای ITIL برای مدیریت تغییر استفاده میکند، این تغییر یک «ضرورت» تلقی میشود.
خوشبختانه، VMWare در توصیهای جداگانه مطرح کرده است که هیچ مدرکی وجود ندارد که تایید کند از این اشکالات امنیتی سوءاستفاده گستردهای در حملات سایبری شده باشد اما با این حال لینکهای دانلود وصلهها و دستورالعملهای نصب را با جزئیات بر روی وبسایت خود ارائه کرده است.
برای جلوگیری از بروز حادثهای سایبری به دلیل آسیب پذیری جدی VMWare کسانی که نمیتوانند بهسرعت دستگاههای آسیبپذیر خود را وصله کنند، بهجز یکی از کاربران ادمین، باید تمام کاربران دیگر را غیرفعال کنند.
کارشناسان امنیتی مرکز مدیریت راهبردی افتا اعلام کردهاند از آنجایی که سرورهای VMware یک هدف بالقوه برای مهاجمان هستند، تمام دستگاههای آسیبپذیر باید بهسرعت بهروزرسانی شده یا از راهحل ارائهشده پیروی کنند تا از خطر احتمالی جلوگیری شود؛ زیرا مهاجمان احتمالاً بهزودی کدهای مخرب خود را برای استفاده در حملات توسعه خواهند داد.
کارشناسان افتا همچنین هشدار دادهاند که عدم جدی گرفتن توصیهها و راهکارهای امنیتی، در نهایت به رخنههای شبکه و حملات مهمتر، از جمله استقرار باجافزار و سرقت داده منجر خواهد شد.